DSGVO: Löchriger Schutzschild, Gängelungsinstrument oder Maßstab in der digitalen Landschaft? | Folge 17

08/16/23 • 31 min

Datenschutz muss gar nicht schwer sein - oder doch?

Im Mai 2023 wurde die Datenschutzgrundverordnung (DSGVO) fünf Jahre alt. Viele sehen die DSGVO als eine Erfolgsgeschichte, da sie unter anderem das Bewusstsein für Sicherheit und Datenschutz geschärft hat. Doch wie geht es weiter? In der aktuellen Folge von WeTalkSecurity spricht Christian Lueg mit Karsten Bartels, Rechtsanwalt und Partner bei der Kanzlei HK2 sowie stellvertretender Vorstandvorsitzender im Bundesverband IT-Sicherheit e.V. (TeleTrust).

Über den Gast Karsten U. Bartels LL.M. ist Rechtsanwalt und Partner bei der Kanzlei HK2 in Berlin. (https://www.hk2.eu/de/) Darüber hinaus ist er Geschäftsführer der HK2 Comtection GmbH, die Datenschutzbeauftragte stellt (https://www.comtection.de/). Bei der Hochschule Hof ist er Lehrbeauftragter für Datenschutz-Compliance. Daneben ist er stellvertretender Vorstandsvorsitzender Bundesverband IT-Sicherheit e.V. (Teletrust) und Vorsitzender der Arbeitsgemeinschaft IT-Recht (davit) im Deutschen Anwaltsverein e.V..

Erfahrungen nach fünf Jahren DSGVO Karsten ist nach fünf Jahren froh, dass die Sinnfrage nach der DSGVO nicht mehr gestellt wird. Das sah 2018 noch anders aus. Viele Unternehmen mussten ihre Pflichten erst realisieren und gingen dadurch eher in eine Abwehrhaltung. Dabei hatte man bis 2018 gut zwei Jahre Zeit, um sich auf die neuen Regeln einzustellen. Mittlerweile ist die große Welle an Compliance- und Umsetzungsaufgaben hat sich gelegt. Nach Karstens Ansicht haben Unternehmen und Behörden damit ihren Frieden geschlossen. Christian setzt hier nochmal an und fragt, ob die Organisationen die Übergangszeit nicht verschlafen haben und erst kurz vor Ende wieder die große Panik ausgebrochen ist. Hier sieht Karsten stehen für Karsten aber nicht nur die Unternehmen in der Schuld. Es gab im Vorfeld ebenso ein Informationsdefizit bei den Aufsichtsbehörden. Es gab keine Kampagnen, um hier Awareness zu schaffen.

Haben sich die Informationskampagnen verbessert - auch im Hinblick auf NIS2? Für Karsten wird die nationalstaatliche Umsetzung der NIS2-Richtlinie spannend, weil die Anzahl der Unternehmen der Kritischen Infrastruktur massiv steigen wird. Von jetzt 1.600 Unternehmen geht man von knapp 30.000 nach Umsetzung von NIS2 aus. Die Behörden haben dazugelernt, aber weiterhin gibt es Nachholbedarf. Es fehlen Unterlagen und Inhalte, womit Unternehmen direkt arbeiten können. Mit der DSK gibt es eine Datenschutzkonferenz, die ein Zusammenschluss der Datenschutzaufsichtsbehörden bei Bund und Ländern (Mehr Infos: https://www.datenschutzkonferenz-online.de/). Auf der Webseite bietet die Konferenz kurze Handlungsempfehlung die Unternehmen bei der Sicherstellung des Datenschutzes enorm helfen.

Hat die DSGVO zu einem stärkeren Problembewusstsein geführt? Ein Virenschutz und eine Firewall waren für viele Unternehmen vor 10 Jahren noch absolut ausreichend. Die DSGVO hat hier zu einem Umdenken und einem stärkeren Problembewusstsein geführt. IT-Sicherheit hat auch nach Karstens Ansicht mit der DSGVO eine stärkere Wahrnehmung erfahren. Organisationen haben begriffen, dass das Zeichnen einer TOM-Liste nicht ausreicht. Gleichsam ist aber auch das Bewusstsein in der Bevölkerung, Unternehmen und Behörden gestiegen, dass es beim Datenschutz um Betroffenenrechte geht. Mit dem Datenschutz sollen Grundrechte im digitalen Raum geschützt werden.

Exportschlager DSGVO? Weltweit wird die DSGVO als Vorbild genommen, selbst in den USA ist das ein Thema. Das ist nicht nur geprägt von den heeren Rechtsgrundsätzen und der europäischen Rechtsauffassung, sondern schlicht ein kommerzieller Aspekt. Die Europäische Union ist ein enorm wichtiger Wirtschaftsmarkt. Wenn ich hier aus dem Ausland mitmachen will, muss ich mich den Rechtsgrundsätzen wie bspw. der DSGVO anpassen. Karsten sieht es dennoch als bemerkenswert, dass sich auch stark technologiegetriebene Länder wie die USA an der EU orientieren.

Wie werden Betroffene in die Lage versetzt, ihren Datenschutz wahrzunehmen? Es gibt bei der DSGVO leider einen Spagat, der kaum zu tanzen ist. Ein Bein soll so weit aufklären, dass jeder Betroffene genau weiß was mit seinen Daten geschieht und er vollumfänglich aufgeklärt wird. Das andere Bein verlangt, dass es so einfach wie möglich erklärt werden muss. Wie das aber umgesetzt werden soll, beantwortet die DSGVO aber nicht. Karsten schlägt vor, dass man bei einer DSGVO 2.0 hier ansetzt und Verbesserungen schafft.

Hat Deutschland beim Datenschutz eine Vorreiterrolle? Karsten ist bei dem Punkt hin und hergerissen. Deutschland hat auf der einen Seite rechtspolitisch solche Themen wie die DSGVO stark vorangetrieben, auf der anderen Seite jedoch legen di...

Datenschutz muss gar nicht schwer sein - oder doch?

Vorherige Episode

Stand der Technik in der IT-Sicherheit: Lösungsansätze und Tipps aus der Praxis | Folge 16

Wie können Unternehmen den Stand der Technik in der IT-Sicherheit erfüllen? Was sind wichtige Schritte und wie sehen konkrete Maßnahmen aus?

Der Begriff Stand der Technik geistert seit der Datenschutzgrundverordnung (DSGVO) durch die IT-Landschaft. Auch mit der neuen Gesetzgebung im Rahmen der NIS2-Richtlinie kommt der Begriff wieder in den Fokus. Bereits in einer vorherigen Folge haben wir den Stand der Technik aus juristischer Sicht beleuchtet. In der heutigen Folge wollen wir aber einen Schritt weitergehen und über konkrete Maßnahmen sprechen, um einen Stand der Technik in der IT-Sicherheit einzuhalten. Christian Lueg spricht hierzu mit Michael Schröder, Manager of Security Business Strategy DACH bei ESET.

Über den Gast Michael Schröder ist als Technologieexperte und Datenschutzbeauftragter für die strategische Ausrichtung von ESET Produkten und Services in Deutschland, Österreich und der Schweiz zuständig. Michael ist seit mehr als 25 Jahren in der IT-Welt unterwegs und kennt die Branche aus verschiedenen Blickwinkeln. Neben seiner umfassenden Expertise im Bereich Datenschutz und -sicherheit verfügt er über ein vertieftes Wissen rund um Authentifizierungslösungen, Verschlüsselung, Cloud-Sandboxing, Endpoint Detection and Response und Threat-Intelligence Services.

WeTalkSecurity hat in der heutigen Folge ein Heimspiel und nimmt die Folge im Trainingszentrum von Borussia Dortmund auf. Der BVB hat uns dankenswerter Weise einen Raum zur Verfügung gestellt. Bereits in einer der vorherigen Folgen ging es um den juristischen Begriff "Stand der Technik" und was das für die IT-Sicherheit bedeutet. Michael Schröder hat zusammen mit Stefan Sander das ESET Whitepaper zum Thema "Stand der Technik" geschrieben. Das Whitepaper ist hier verfügbar: https://www.eset.com/de/stand-der-technik/

Was bedeutet der Begriff "Stand der Technik"? Laut Michael glauben viele Menschen den Begriff "Stand der Technik" erklären zu können. Wenn es aber konkret wird im Hinblick auf IT-Security, ist es meist sehr schwer und viele stoßen schnell an Grenzen. "Stand der Technik" bezeichnet zunächst einen gängigen juristischen Begriff, der jedoch von keinem anerkannten Institut oder Behörde konkret erläutert und sagt, wie der Stand der Technik in der IT-Sicherheit erreicht wird. Daher muss der Stand der Technik immer wieder neu bewertet werden und festgelegt werden.

Warum ist es so schwer geeignete Maßnahmen abzuleiten? Ob Verein oder DAX-Unternehmen, viele erwarten eine Handlungsanleitung an die ich mich orientieren kann. Das funktioniert beim Stand der Technik nicht und ist für jede Organisation unterschiedlich und individuell in Hinblick auf Größe und Risiken. Zero Trust Security ist hier eine konkreter Lösungsansatz. Bereits in der Vergangenheit haben wir bei WeTalkSecurity darüber gesprochen (https://wetalksecurity.podigee.io/5-zero-trust-digitale-souveraenitaet). Mit diesem Zero Zrust Security-Modell und dem zugrundeliegenden Reifegradmodell sollen Hilfesuchende eine Handreichung bzw. Orientierung mit zahlreichen Empfehlungen erhalten. Es geht dabei immer um den Grundsatz Risikominimierung. Beispiele für angemessene Maßnahmen sind immer schwer zu geben. Es gibt laut Michael Schröder aber einen Common Sense in der IT-Security. Wichtig und für jede Organisation entscheidend ist eine Risikoanalyse und sollte dokumentiert werden. Hierdurch kommen auch organisatorische Maßnahmen hinzu wie Risikomanagement, Schulung der Mitarbeiter usw. Das ist ein kontinuierlicher Prozess. Sind diese Hausaufgaben gemacht, können technische Maßnahmen folgen. So können bestimmte, in der Risikoanalyse festgestellte, Angriffsvektoren gezielt mit passgenauen technischen Lösungen geschlossen werden. Ein konkretes Beispiel ist eine Organisation mit vielen Mobilgeräten wie eine mobile Krankenpflege. Hier sind sensible Daten im Umlauf, die im Hinblick auf die DSGVO besonders schützenswert sind. Hier ist der Schutzbedarf natürlich deutlich höher wie bei einer Hotelrezeption, die einen festen PC im Einsatz hat. Auch Borussia Dortmund hat mit hochsensiblen Daten andere Anforderungen. Wie diese aussehen, haben wir bei WeTalkSecurity im vergangenen Jahr mit dem IT-Chef des BVB Stephan Horst besprochen (https://wetalksecurity.podigee.io/8-bvb). Viele Organisationen können diese Risikoanalyse gar nicht alleine durchführen. Hier ist es wichtig auf externe Hilfe und geschulte Experten in dem Bereich zurückzugreifen.

**Was bringt ein Reifegradmodell und wie setze ich das um? ** Das Reifegradmodell besteht aus verschiedenen Stufen und beginnt mit der Stufe 0. Diese erste Stufe bietet für die heutige Zeit keinen ausreichenden Schutz mehr. Mit Stufe 1 ist aber bereits ein Level der IT-Sicherhei...

Nächste Episode

NIS2 und die nationale Umsetzung - Was kommt auf deutsche Unternehmen zu | Folge 18

NIS2 könnte 2024 die DSGVO in den Schatten stellen.

Die europäische NIS2-Richtlinie definiert, welche Mindestanforderungen zukünftig bei der IT-Sicherheit gelten und wie sich insbesondere Unternehmen der kritischen Infrastruktur künftig schützen müssen. In Folge 18 spricht Christian Lueg mit ESET Security-Experte Maik Wetzel darüber, wie die Richtlinie die Cyber-Sicherheit in deutschen Unternehmen verändern wird und über die Herausforderungen, die diese bis zum 18. Oktober 2024 meistern müssen.

Über den Gast Der studierte Betriebswirt Maik Wetzel verfügt über mehr als 30 Jahre Berufserfahrung in der IT Industrie. Seit 2009 liegt sein beruflicher Fokus im Bereich IT-Sicherheit. Bei ESET verantwortet Maik Wetzel seit 2020 die strategische Geschäftsentwicklung in der DACH-Region. In dieser Rolle fokussiert er sich auf die Identifikation und Erschließung neuer Geschäftsfelder und vertikaler Märkte sowie auf die Entwicklungen nachhaltiger, strategischer Partnerschaften für ESET in der DACH-Region. Er vertritt ESET in den Gremien wichtiger Verbände und tritt regelmäßig als Speaker auf Konferenzen und als Spezialist und Experte in Panels oder Roundtables in Erscheinung.

Um was geht es bei NIS2? Auch in dieser Folge von WeTalkSecurity geht es um die europäische NIS2 (Netz- und Informationssysteme)-Richtlinie, die spätestens bis zum 18. Oktober 2024 in nationales Recht umgesetzt werden muss. Mittels der Richtlinie werden Mindestanforderungen an die IT-Sicherheit von Unternehmen und Organisationen definiert, insbesondere für Unternehmen der kritischen Infrastruktur (KRITIS), die zukünftig zu erfüllen sind. Ziel ist es damit die Cyber-Sicherheit und die Resilienz insgesamt zu verbessern, die zwischenstaatliche Zusammenarbeit bei der Bekämpfung von Cyberkriminalität zu fördern und EU-weite Mindeststandards zu definieren.

Wie wird in Deutschland reguliert werden? Zwar existiert in Deutschland bisher nur ein informeller Referentenentwurf, doch daran lässt sich schon erkennen wie die Richtlinie in Deutschland ausgestaltet werden soll, findet Maik Wetzel: In Zukunft werden insgesamt 18 Wirtschaftssektoren unter die Richtlinie fallen, abhängig von ihrer Größe. Statt bisher etwa 5.000 Unternehmen, die unter die derzeit geltende NIS-Richtlinie fallen, werden bald etwa 29.000 Unternehmen von NIS2 betroffen sein. Ihnen werden strengere Compliance-Anforderungen in Punkto IT- und Datensicherheit auferlegt.

Staat und Verwaltung werden ebenfalls betroffen sein. Allerdings ist bisher noch offen, inwieweit die Anforderungen nur für Bundes und Landesbehörden oder auch für die kommunale Ebene gelten werden. Dies könnte zu einem schwer überschaubaren Flickenteppich führen beziehungsweise könnte die Stärkung der Cyber-Resilienz im kommunalen Sektor ausbleiben.

Was müssen Unternehmen in Punkto NIS2 tun? Die Unternehmen sind in der Pflicht, selbst aktiv zu werden und selbst zu ermitteln, ob NIS2 für sie gilt und gegebenenfalls die notwendigen Maßnahmen zu ergreifen. Zukünftig ist eine Registrierung über das Bundesamt für Informationssicherheit (BSI) geplant, über die Unternehmen erfahren können ob sie reguliert sind und Unterlagen zur Prüfung einreichen können. Regulierte Unternehmen können sich auf der organisatorischen Ebene, aller Voraussicht nach, auf die notwendige Einführung eines Informationssicherheits-Management-Systems zur Risikobewertung von IT-Assets einstellen. Daraus müssen Schutzmaßnahmen abgeleitet werden. Auf der technischen Ebene könnten Multi-Faktor-Authentifizierung, Verschlüsselung bestimmter Daten und die Vorhaltung von Backup-Systemen vorgeschrieben werden. Dazu kommen, für besonders wichtige Unternehmen, Systeme zur Angriffserkennung.

Welche Systeme genau vorgeschrieben sein werden, wird dem Gesetz nicht entnehmbar sein. Wahrscheinlich müssen die Systeme dem jeweils aktuellen „Stand der Technik“ entsprechen, mindestens müssen sie angemessen sein. Organisationen müssen sich also auf dem Laufenden halten und ihre Sicherheitsmaßnahmen immer wieder kritisch hinterfragen.

Auch Zulieferer und Leitungsorgane sind in der Pflicht Über die 29.000 betroffenen Unternehmen hinaus werden auch Zulieferer betroffen sein. Das betrifft zum Beispiel digitale Lieferketten. Künftig könnten auch Geschäftsführer und andere Verantwortliche für mangelnde Cyber-Sicherheit in Haftung genommen werden.

Was verbirgt sich hinter dem Rechtsbegriff „Stand der Technik“? Mehr dazu ist der Folge 16 von WeTalkSecurity zu entnehmen: Stand der Technik in der IT-Sicherheit: Lösungsansätze und Tipps aus der Praxis. Außerdem lässt sich dies im ESET Whitepaper „IT-Security auf dem Stand der Technik“ nachlesen, das hier heruntergeladen werden kann.

...